Protection de la vie privée

Plusieurs principes fondamentaux sont définis dans les lois de protection de la vie privée :

• l'information des intéressés,
• la proportionnalité et la nécessité des mesures prises,
• le doit d'accès et de rectification,
• la durée limitée de conservation des informations à caractère privée, le droit à l'oubli.

Les lois de protection de la vie privée

Plusieurs lois ont fondé le droit au respect de la vie privée :

• La loi n° 78-17 du 6 janvier 1978, dite Informatique et libertés qui entraîne également la création de la CNIL.
• La LCEN (loi sur la Confiance dans l'Economie Numérique)
• La loi du 6 août 2004, dite Nouvelle loi Informatique et libertés ou CNIL II

Loi Informatique et Liberté, CNIL, fichiers nominatifs

La CNIL (Commission Nationale de l'Informatique et des Libertés) est l'autorité administrative indépendante chargée de veiller au respect de la loi "Informatique et libertés", loi n° 78-17 du 6 janvier 1978.
Ses 5 missions principales sont :

• informer la CNIL informe les personnes de leurs droits et obligations,
• garantir le droit d'accès la CNIL veille aux modalités de mise en oeuvre du droit d'accès aux données,
• recenser les fichiers la CNIL donne un avis sur toutes les créations de traitements du secteur public et reçoit les déclarations de traitements du secteur privé.
• contrôler la CNIL vérifie que la loi est respectée en contrôlant les applications informatiques.
• réglementer la CNIL en établit des normes simplifiées, afin que les traitements les plus courants et les moins dangereux pour les libertés fassent l'objet de formalités allégées.

Dans la pratique, dès que l'on constitue un fichier nominatif (avec des noms de personnes), il convient de le déclarer à la CNIL. Il faut également être particulièrement vigilant sur les informations personnelles que l'on y met. Le site de la CNIL est assez clair et complet sur le sujet, il permet également de débuter une déclaration.

Droit de consultation et de rectification

Les données à caractère personnel doivent pouvoir être consultées par l'intéressé qui bénéficie d'un droit de rectification.
C'est notamment pour cela que les coordonnées de l'entreprise doivent être communiquées.

Obligation de protection

Les données à caractère personnel doivent bénéficier d'une protection correcte et ne doivent pas pouvoir être diffusées à l'occasion d'une fraude ou d'un accident.
De même, en cas de sous-traitance ou d'externalisation, il faut s'assurer que les données à caractère personnel qui pourraient être transmises au sous-traitant sont correctement protégées.

Droit à l'oubli

La durée de conservation des données personnelles ne doit pas excéder ce qui est nécessaire à la finalité du traitement. De fait la destruction des données personnelles après un certain délai de conservation est obligatoire sous peine de sanctions pénales.
Il est donc également nécessaire de vérifier que l'on ne conserve pas de copies, sauvegardes ou archives des données personnelles que l'on aurait dû détruire au terme de leur usage.

Correspondant Informatique et Libertés

La législation a introduit la notion de CPD (Correspondant à la Protection des Données) ou CIL (Correspondant Informatique et Libertés).
Lorsque l'entreprise (ou un organisme) désigne un correspondant à la protection des données à caractère personnel, elle bénéficie d'un allégement de ses obligations déclaratives. A priori, ce correspondant peut être interne ou externe à l'entreprise. Un décret doit permettre d'y voir plus clair, notamment en précisant son rôle et les critères de choix.

Le raz de marée des mails

De tous les types de courriers ou moyens de sollicitation, le mailing est l'un des moins coûteux.
Envoyer des messages à l'autre bout du monde n'est pas plus cher que dans sa rue. Pire, plus l'on travaille salement (fichiers non qualifiés, messages non personnalisés...) et moins c'est cher.
Les résultats commerciaux étant souvent proportionnels au nombre de clients prospectés, quelques petits malins ont vite compris qu'en expédiant chaque jour des millions de mail, ils pouvaient obtenir de bons résultats.
Le flot de mails envahissant les messageries est donc l'addition de 3 phénomènes mal maîtrisables :

• les spams (viagra et autres),
• le flot des mails que l'on s'envoie plus ou moins légitimement et dont la masse ne cesse d'augmenter,
• la production des virus mass mailers.

Mais qu'est-ce qu'un spam ?

Constituent des spams les messages adressés sur la base d'une collecte irrégulière de méls, soit au moyen de moteurs de recherche dans les espaces publics de l'internet (sites web, forums de discussion, listes de diffusion, chat...), soit que les adresses aient été cédées sans que les personnes en aient été informées et sans qu'elles aient été mises en mesure de s'y opposer ou d'y consentir. Une telle collecte est alors déloyale et illicite au sens de l'article 25 de la loi du 6 janvier 1978. - CNIL
Malheureusement, cette définition ancienne n'était ni claire, ni complète (en effet, elle insistait essentiellement sur le caractère déloyal de la collecte, mais ne donnait pas beaucoup d'indications quant à la nature des messages, leur quantité, la cible visée et les méthodes pratiquées).
Depuis, peu de gens se sont aventuré à définir ce qu'est un spam, ni quelles sont les limites d'une pratique correcte.
Faisant suite à une longue période de laxisme et un bombardement massif des messageries, un vent de prohibition a soufflé voulant imposer l'autorisation systématique des destinataires avant tout envoi de sollicitation et rendant pratiquement synonymes les mots mail et spam.
Cette position s'avère mal commode (comment obtenir cette autorisation sans sollicitation ?) et anti-commerciale (tout commerce part d'une sollicitation).

Principe de l'opt-out et de l'opt-in

L'opt-out, c'est le principe d’envoi d’e-mails lorsque le destinataire qui ne souhaite pas recevoir les sollicitations d’un annonceur doit se désinscrire lui-même.
Ce système est le plus permissif. Il convient à une sollicitation commerciale raisonnable.

L'opt-in c'est le principe d’envoi d’e-mails uniquement lorsque le destinataire accepte explicitement de recevoir des offres publicitaires. C’est la disposition la plus restrictive à l’encontre de l’usage des mails. Il revient pratiquement à interdire les sollicitations commerciales par mail.
Le Parlement européen, puis le législateur français avec la loi sur l'économie numérique (LCEN), ont adopté ce principe pour les particuliers.
Enfin, pour s'assurer que c'est bien le destinataire qui a donné son accord, on peut lui demander de confirmer son inscription, c'est le principe du double opt-in.

Réglementation de l'envoi des courriers électroniques

Plusieurs décisions ont cherché à fixer des règles :

• La loi de 78, qui interdisait le spam et imposait la possibilité de se désisncrire facilement
• puis la LCEN qui semblait interdire presque toute prospection (" un message visant à promouvoir directement ou indirectement des biens, des services, ou l'image d'une personne vendant des biens ou fournissant des services ").
• enfin, en mars 2005, la CNIL limitait ces restrictions à l'envoi en B to C (voir la fiche Mailing B to B : position de la CNIL).

L'usage du mail s'est maintenant un peu clarifié et l'on peut discerner les contours d'une ligne de conduite (attention, cet article ne vaut pas avis juridique !) :

• envoi de courrier à un particulier : il faut avoir obtenu son accord au préalable ou lui avoir déjà vendu un article similaire.
• envoi de courrier à un professionnel : il faut que ce courrier corresponde à un envoi ciblé et lui laisser la possibilité de se désinscrire des fichiers d'envoi.

Dans tous les cas, il est nécessaire de respecter les règles définies dans la loi de 78 :

• collecte loyale de l'adresse,
• déclaration préalable du traitement auprès de la CNIL
• coordonnées de l'expéditeur,
• possibilité de se désinscrire facilement.

Can-Spam Act

La Can-Spam Act (Controlling the Assault of Non-Solicited Pornography and Marketing Act) est la loi fédérale américaine du 16 décembre 2003 visant à limiter l'usage du courrier électronique :
Elle énonce 2 principes essentiels :

• les courriers commerciaux non sollicités sont interdits lorsque leur destinataire a déclaré s’y opposer (principe de l'opt-out).
• les courriers cherchant à tromper le destinataire sont interdits.

La récolte d'adresses à l'aide de moteurs et le masquage des adresses de l'expéditeur sont également interdits.
Jugée parfois laxiste, cette loi a fait l'objet de nombreuses critiques au départ. Toutefois, des sanctions lourdes ont été prononcées et désormais, comme prévisible, l'essentiel des spammeurs sont ceux qui échappe aux lois (étrangers, délinquants...).